用于基于反馈调适通信网络的安全性措施的系统、方法和计算机程序产品

摘要

一种适应性的网络安全性系统，包括与各网络部件耦合的信赖媒介代理。信赖媒介代理连续地检测网络的安全性特征的变化并且将检测的安全性特征传送给信赖媒介。基于从信赖媒介代理接收的安全性特征，所述信赖媒介调整安全性保护措施以维持可接受的安全性水平。信赖媒介在确定是否调整安全性保护措施时也使用预先确定的规则。尽管安全性特征不可避免的变化，仍实现了可接受的安全性水平和有效率的网络操作，而没有使网络的用户承担过于繁重的安全性保护措施。

说明书

本申请是于2010年7月15日提交的、题为“用于基于反馈调适通 信网络的安全性措施的系统、方法和计算机程序产品”的国际申请号 为PCT/US2010/042043、国家申请号为201080029478.7的专利申请的 分案申请。

技术领域

本发明一般地涉及信息安全性系统，并且更具体地涉及用于基于 动态反馈调适通信网络的安全性(security)措施(measure)的系统、 方法和计算机程序产品。

背景技术

随着移动通信设备(例如移动电话)的激增，具有这样的设备的 金融账户所有者已经开始使用它们来完成金融交易。然而，使得金融 账户所有者能够这样做对于金融账户发行者产生独特的安全性风险， 特别是因为安全性能力和风险在不同的移动通信设备和不同的移动 通信网络之间广泛地变化。例如，典型的支付系统涉及通常由金融交 易发行者或商户拥有和设计的销售点(POS)终端。相反，因为移动 通信设备是由各个厂商制造的并且能够被第三方变更，金融账户发行 者对于与他们关联的安全性能力和风险具有较少的控制和知识。这使 得更加难以控制通过使用移动通信设备完成的金融交易的安全性。安 全性措施根据移动通信设备的具体模型而变化，由此增加该内在的安 全性风险。

金融账户发行者的风险被移动通信设备的移动性更加复杂化。移 动通信设备可操作的各个场所潜在地具有不同的安全性环境。结果，

用于各个场所的不同的安全性措施是必需的。例如，将移动通信设备 带入外国会要求移动通信设备漫游于外国的移动通信网络上，外国的 移动通信网络具有内在地不同的安全性风险、能力及其他特征。

安全性设计师对于与新网络的各部件关联的风险执行劳动密集 的和彻底的分析，以试图将他们的已有的安全性系统与新网络安全地 接口连接(interface)。已有的安全性系统经常被变更以适应与新网 络关联的风险。该处理花费大量的时间，因此限制了金融账户发行者 能够进入利用基于移动的金融交易网络的新市场的速度。结果，他们 可丢失市场份额。

另外，安全性设计师一般假定：一旦系统被部署，则网络部件的 所有安全性特征和风险都将保持静态。因而典型的安全性系统采用具 体的一组安全性措施，所述具体的一组安全性措施被部署直到所述安 全性系统离线并且被替换或变更。换句话说，如果安全性系统的风险 变化(例如，安全性措施被攻击者突破)，则必须实现维护 (maintenance)窗口或停机(outage)以使得安全性系统能够被修改 以对安全性突破、补丁或升级作出响应。这样的系统不能动态地适应 关于影响网络的安全性状况的变化的各种检测的反馈。因此，典型的 安全性系统缺乏适合于基于移动的金融交易系统所必须的适应性。此 外，典型的安全性系统的静态的安全性措施增加内部和外部攻击者可 规避安全性措施的容易性。随着支付和网络系统适应于下一代支付和 通讯，攻击和漏洞利用(exploits)也将发展成下一代犯罪漏洞利用。

尽管有以上安全性风险，但是启用移动交易对于金融账户发行者 仍然是进入广泛分布的POS基础设施不可用或者不实际的不可银行 承兑的乡村市场的特别有吸引力的方式。

基于以上，对于包括进行访问的商户、顾客和合伙人的已有的网 络连接和新的网络连接以及本地(home)网络能够连续地检测网络安 全性特征的变化并且基于这些检测的变化进行调适以维持可接受的 安全性水平将是有用的。

它对于使得商业实体(例如金融账户发行者)能够在最少地修改 他们的已有的安全性系统的情况下进入新的市场(例如基于移动的金 融交易市场)、以及接受具有跨许多的设备和网络类型通过网络段、 地区、发行者、合伙人、设备和/或帐户管理暴露(exposure)的大小 的新的风险方案也将是有用的。

另外，它对于启用当前不典型的(例如非国内的)通信网络部件 的特性也将是有用的，并且/或者有助于使得能够适应风险以维持可接 受的安全性水平。

发明内容

本发明通过提供用于基于动态反馈调适通信网络的安全性措施 的系统、方法和计算机程序产品来满足上述认定的需求。

信赖媒介代理与各网络部件关联。所述信赖媒介代理连续地检测 各网络部件的安全性特征的变化，并将检测的变化反馈到信赖媒介。 所述信赖媒介使用来自信赖媒介代理的反馈来确定是否以及如何修 改当前运行的安全性保护措施(safeguards)以维持适当的安全性水 平。如果需要任何修改，则所述信赖媒介经由关联的信赖媒介代理将 所述修改传送到适当的网络部件以供实现。所述处理是循环的 (recursive)，因而当网络安全性特征的变化随着时间出现时所述处 理连续地适应于网络安全性特征的变化，以在损失的概率加损失的大 小与启用商务交易的可接受的风险之间权衡利弊，从而在帐号水平和 /或在网络部件水平处连续而不中断。

商业实体(例如金融账户发行者)能够将具有新的安全性特征的 新的通信网络并入他们的已有的网络，而无需执行彻底的和劳动密集 的之前(upfront)分析来估计新的通信网络将对他们的已有的网络产 生的安全性影响。替代地，商业实体可定义规则(例如可接受的风险 的阈值)、开始与新网络的通信、以及允许他们的已有的安全性系统 在维持可接受的风险接受水平的同时检测和适应于新网络的安全性 特征。进入市场的时间减少了，并且能够以最小化的水平管理暴露于 商业实体的风险的水平。

考虑了关于安全性措施的用户的预期。因而，如果具体的安全性 措施对于用户太麻烦，则所述安全性措施被修改或禁用到最小水平。 所述最小水平平衡公司的风险接受性与代表用户或帐户所有者对策 选择的方便代价，并且向发行者和帐户所有者提供公司可接受的交易 风险弹性。替换地，如果所述安全性措施提供过低的安全水平以致于 用户不能接受所述安全性措施，则将它修改或替换为更严格的安全性 措施。这增大用户满意性因而朝基于时间、场所和相关性(relevance) 使用系统的策略和结果(payoff)的平衡状态(equilibrium)移动， 并且导致用于增大商业实体的市场份额的更有效率的风险模型。

在一个实施例中，安全性系统基于安全性目标、威胁和通信网络 的特征动态地调适。信赖媒介代理收集与通信网络模块关联的安全性 相关数据，所述信赖媒介代理分别与网络模块关联。所述通信网络模 块中的至少一个是移动通信设备。所述信赖媒介代理通过通信网络将 所述安全性相关数据传送到信赖媒介。反过来，所述信赖媒介基于所 述信赖媒介代理传送的安全性相关数据和存储在存储器中的预先确 定的规则中的至少一个确定对一个或多个安全性保护措施的修改。所 述信赖媒介通过通信网络将对应于所述修改的指令传送到所述信赖 媒介代理中的至少一个或者改变与通信网络模块关联的保护简档。

以下将参照附图详细地描述本发明的更多的特征和优点以及本 发明的各个实施例的结构与操作。

附图说明

从以下结合附图阐述的详细描述，本发明的特征和优点将变得更 加清晰，在附图中，相同的参考数字表示相同的或功能上类似的元件。 另外，参考数字的最左边的位表明所述参考数字首先出现的图。

图1是根据本发明的实施例的用于基于动态反馈调适通信网络的 安全性措施的示例性的安全性系统的图。

图2是示出根据本发明的实施例的用于基于动态反馈调适通信网 络的安全性措施的示例性的处理的流程图。

图3是对于实现本发明有用的示例性的计算机系统。

具体实施方式

本发明针对用于基于动态反馈调适通信网络的安全性措施的系 统、方法和计算机程序产品，现在通过移动支付系统的例子在此更详 细地描述所述系统、方法和计算机程序产品。这仅仅是为了方便而不 意图限定本发明的申请。事实上，在阅读以下的描述之后，本领域普 通技术人员将清楚如何以替代性的实施例实现以下的发明(例如，一 般的网络安全性系统、大量通行(transit)安全性系统、本地和商业 安全性系统等等)。

术语“用户”、“消费者”、“帐户所有者”和/或这些术语的 复数形式在全文中可互换地被用于指能够访问、使用本发明、被本发 明影响和/或受益于本发明的那些人或实体。

这里所用的“商户”指作为商品或服务的分发链中的供应商、经 纪人、和/或任何其他的实体的任何人、实体、分发器系统、软件和/ 或硬件。例如，商户可是杂货店、零售店、旅行社、服务供应商、在 线商户等等。

这里使用的“交易帐户”指与开放的帐户或关闭的帐户系统关联 的帐户。交易帐户可存在于物理的或非物理的实施例。例如，交易帐 户能够以非物理的实施例(例如帐户号码、常客帐户(frequent-flyer  account)、电话呼叫帐户等等)分发。此外，交易帐户的物理的实施 例可作为金融工具分发。

这里使用的“帐户”、“帐户号码”、或“帐户代码”可包括被 合适地配置为允许消费者访问金融交易系统、与金融交易系统交互或 与金融交易系统通信的任何设备、代码、号码、字母、符号、数字证 书、智能芯片、数字信号、模拟信号、生物测定的或其他的标识符/ 标记。帐户号码可选择性地位于任何金融交易工具上或与任何金融交 易工具关联(例如报酬、费用、信用、借记(debit)、预付、电话、 压花的(embossed)、智能的、磁性的带、条形码、发射器应答器或 无线电频率卡片)。

术语“金融账户发行者”、“帐户发行者”和“发行者”和/或 这些术语的复数形式在全文中可互换地用于指向帐户所有者提供交 易帐户的那些人或实体。例如，发行者可以是信用卡发行者、银行、 或任何其他的金融机构。

通常，交易帐户能被用于通过任何适当的在线或离线通信网络 (诸如，例如有线网络、无线网络、电话网络、内部网络、全球的公 共的因特网等)的用户和商户之间的交易。另外，用户可通过使用任 何适当的通讯设备(例如交互作用点设备(例如销售点(POS)设备、 个人数字助理(PDA)、移动电话、公用电话亭等)、启用无线电频 率的交易卡片等等)完成与商户的交易。

金融交易工具(也称作“支付设备”)可以是传统的塑料交易卡 片、包含钛的或包含其他金属的交易卡片、纯粹的(clear)和/或透 明的交易卡片、折叠的或者否则为非常规尺寸的交易卡片、启用无线 电频率的交易卡片、或其他种类的交易卡片，例如信用、费用、借记、 预支付或存储的价值(value)卡片、或任何其他的类似的金融交易工 具。金融交易工具还可以具有由通过印刷或以其他方式并入到交易工 具(并且一般被称为“智能卡”)上或内的电子线路的网络提供的电 子功能，或者是具有发射器应答器和RFID读取器的链带(fob)。

术语“保护措施”、“安全性措施”、“安全性保护措施”和/ 或这些术语的复数形式在全文中可互换地用于指增加安全性、机密 性、和/或通过通信网络传送的数据的完整性的任何处理、硬件、软件、 算法、对策等等。例如，保护措施可以是密钥长度、加密/解密算法、 校验和、哈希函数、访问级别、口令要求、指纹要求等等。

图1是根据本发明的实施例的用于适应性地确保移动通信设备交 易安全的示例性的安全性系统100的图。如图1所示，安全性系统100 包括内部网络部件118和外部网络部件120。内部网络部件118是发行 者网络内部的网络部件。外部网络部件120是发行者网络外部的网络 部件。

外部网络部件120包括外部终端102，所述外部终端102是消费者 可用作用于完成与商户的金融交易的界面的任何电子通信设备。例 如，外部终端102可以是销售点(POS)设备、公用电话亭或移动通 信设备，例如移动电话、个人电脑、POS设备、个人数字助理(PDA)、 便携式计算设备、启用无线电频率的交易卡片等等。

另一个外部网络部件120是访问网络110，访问网络110是与外部 终端102以及一个或多个内部网络部件118通信耦合的任何电子通信 网络。示例的访问网络110包括移动电话载波网络、外部支付网络和/ 或服务、介质网络、Rich Site Summary(RSS)馈送网络、专用网络、 公共网络、蓝牙^TM网络、自动化交换所(ACH)网络、对等(P2P) 网络等等。

内部网络部件118包括网关112，网关112通信耦合访问网络110。 外部终端102通过访问网络110与内部网络部件118通信。网关112翻译 (translate)通信网络协议以在访问网络110和内部网络部件118之间 启动适当的通讯。网关112还包括取决于访问网络110和内部网络部件 118的特征的许多通信网络模块。例如，网关112可包括隔火墙、网络 地址解析表、用于地址翻译的代理、会话边界控制器等等(全部未示 出)。

另一个内部网络部件118是安全服务模块114。安全服务模块114 通信地耦合到网关112并且执行安全性功能(例如加密、解密、密钥 管理、和/或适合于确保安全性、机密性、和/或遍及系统100传送的数 据的完整性的任何其他的功能)。

另一个内部网络部件118是本地价值(home value)模块106，本 地价值模块106包括电子地存储与发行者拥有的电子资产相关的信息 的存储器或其他的电子存储设备(未示出)。例如，本地价值106可 存储代表信用、存款、忠诚点、报酬点、介质等等的数据条目。本地 价值106的各数据条目具有被存储在存储器(未示出)中并且被信赖 媒介116用于评定与该具体的数据条目关联的安全性风险的价值基础 和关联的量和/或质的值。

内部网络部件118还包括价值媒介(value mediator)104，价值 媒介104评价发行者之外的实体拥有的电子资产。这些资产具有存储 在本地价值106中的价值基础之外的价值基础。价值媒介104由此启动 跨不同的价值基础的价值的量化和兑换。另外，通过评价这些资产， 价值媒介104使得信赖媒介116能够计算与这些资产关联的风险大小 量化。例如，如果交易或贸易的价值是价值媒介104所计算的资产， 然后该计算的值被输入到信赖媒介116，以通过改变与所述资产有关 的一个或多个保护、对策或策略来作出反应。

信赖媒介(TM)代理108a-108f(一起称为108)分别被部署在 外部终端102、访问网络110、网关112、安全服务模块114、价值媒介 104和本地价值模块106上。TM代理108检测和评定从对应于各个相应 的网络部件的一个或多个传感器收集的与安全性有关的信息，并且将 该信息传送到信赖媒介116。传感器测量物理量(例如电子信号或其 他的数据)，并且将它转换为观察员和/或设施(例如TM代理108或信 赖媒介116)可读取的信号。信赖媒介116反过来将指令传送到TM代 理108以修改安全性保护措施的实现。信赖媒介还评定从TM代理108 接收的信息，并且确定是否以及/或者如何修改可为可基于安全性目标 互换的单个保护措施和对策或多个保护措施和对策的总和的根据安 全性和/或信赖媒介算法的安全性保护措施。

图2是示出根据本发明的实施例的用于基于动态反馈调适通信网 络的安全性措施的示例性的处理200的流程图。在该示例性实施例中， 外部终端102是移动电话。但是，应当理解，外部终端102不限于移动 电话。例如，可替代性地使用个人电脑、POS设备、个人数字助理 (PDA)、便携式计算设备等等，并且仍然处于本发明的范围内。

参照图1和2，以种子值(seed values)初始化在整个处理200中 使用的变量。这些变量被存储在位于一个或多个内部网络部件118中 的存储器或其他的电子存储设备(未示出)中。例子变量包括电子资 产的价值、属性和加权因子、用户的信赖预期(user expectation of  trust)、用户的方便预期(user expectation of convenience)、攻击 时间、安全保护时间、用户122的交易场所简档、用户122的事务处理 时间简档等等。随着处理200的进展，基于以下更详细描述的反馈处 理和探查(probes)更新所述变量的初始值。

在块206，一个或多个TM代理108a-108f检测事件。例如，TM代 理108a或108b检测外部终端102连接到访问网络110、外部终端102请 求连接到访问网络110以完成金融交易、请求关联新的外部终端102与 用户122的金融账户、例如外部终端102的时间或场所的条件的改变等 等。

另一个TM代理108可以或者并联地或者响应于TM代理108a和 108b进行的检测来检测事件(例如存在与任何内部和外部网络部件 118和120关联的安全性威胁、内部和外部网络部件118和120当前在使 用保护措施、用户122经由外部终端102输入关于保护措施的预期的信 息等等)。

响应于TM代理108a-108f中的任何代理检测到事件，相应的TM 代理108a-108f将与所述事件相关的更新的信息传送到信赖媒介116。 替换地，或者另外地，信赖媒介116以信赖媒介116确定合适的速率 (rate)周期性地对TM代理108a-108f中的一个或多个轮询(poll)更 新的信息。例如，信赖媒介116可向TM代理108a轮询关于请求多个交 易的外部终端102的场所的数据。如果来自TM代理108a的数据指示随 机的购物图案(因为外部终端102在跨不同的外部网络部件120飞快地 移动，例如，因为用户122在火车上)，那么信赖媒介116向其他的TM 代理108b-108f发信号通知该活动并且更加频繁地轮询。

通过使用被从传感器馈送数据的TM代理108a-108f动态地测量 各种风险系数来管理宽范围的风险。各传感器测量物理量并且将它转 换成信号，所述信号分别被TM代理108a-108f存储为风险变量并且根 据需要转发到信赖媒介116。例如，一种类型的传感器是将振动转换 成存储于相应的风险变量中的信号的触觉传感器，其反过来可以被 TM代理108a-108f读取并且被传送到信赖媒介116。另一个例子是将速 度转换为存储于另一个风险变量中的值的速度传感器。另一个例子是 感测和将方向、振动、和/或震动转换成存储于另一个风险变量中的值 的加速度计。再另一个例子感测和将人的体型特征转换成存储于另一 个风险变量中的值的生物测定传感器。再另一个例子是基于例如输 入、输出、场所等等感测用法的改变并且将结果存储在另一个风险变 量中的软件传感器。

各外部和内部网络部件120和118具有将数据馈送到相应的TM代 理108a-108f的一个或多个关联的传感器，并且所述数据被存储在相应 的风险变量中。与具体的网络部件关联的一个或多个风险变量可被集 合成群(clusters)以导出网络部件的一个或多个风险空间(risk  spaces)。可基于各种数据收集因素通过使用不同的风险变量和/或不 同的数据收集技术导出不同的群和/或风险空间。例如，TM代理 108a-108f中的一个或多个或者信赖媒介116可基于即时的情况(例如 环境、场所、速度等等)动态地改变对于具体的网络部件的风险变量 的群。

在一个方面，可由相应的TM代理108a-108f从群中的传感器以预 先确定的采样速率收集对于各风险空间的数据。可基于即时的情况和 /或基于安全性目标(例如，关于以下进一步描述的保护时间、检测时 间和反应时间的目标)修改采样速率。

在另一个方面，TM代理108可按对应于采样速率的速率将对于各 风险空间的数据传送到信赖媒介116。

在另一个方面，对于各风险空间的数据可被TM代理108a-108f中 的一个或多个传送到信赖媒介116作为在预先确定的集成时间段上收 集的量度的运行总和。还可基于各种数据收集因素修改集成时间段。 例如，采样速度被设置为每秒2个样本，并且信赖媒介116对于具体的 TM代理108a-108f安置10秒的集成时段，那么信赖媒介116将从相应的 TM代理108a-108f接收每连贯的20个样本的总和。

在另一方面，对于各风险空间的数据能够以数据的脉冲猝发 (bursts)(也称为块量度)被周期性地传送到信赖媒介116。还可基 于数据收集因素修改块量度之间的间隔。在另一个方面，TM代理108 和/或信赖媒介116可通过计算来自群中的传感器的数据的加权的和/ 或非加权的总和将生成各风险空间的数据规范化(normalize)。

信赖媒介116动态地确定各种风险变量数据点的收集和/或使用。 例如，信赖媒介116可基于检测的风险、目标(例如，保护时间、检 测时间和反应时间)和/或其他的动态系数(例如，从TM代理108a-108f 中的一个或多个传送到信赖媒介116的数据)改变对于各网络部件的 群和/或改变以上提到的数据收集速率和技术。这向系统100提供与典 型的安全性系统相比更大的适应性和通用性。

典型的网络代理基于当前的保护机构拒绝或许可访问网络资源。 然而，TM代理108a-108f使用传感器来检测影响各网络部件的风险简 档的任何风险系数，并且响应于所述感测，不仅能够基于当前的保护 机构拒绝或许可访问，而且还可以帮助改变保护机构以使得访问和贸 易可连续。在该方式中，处理200本质上是动态的，相反，典型的网 络安全性处理本质上是静态的。

TM代理108a-108f传送到信赖媒介116的其他的信息包括关于当 前遍布系统100部署的保护措施的信息。信赖媒介116使用该信息来计 算安全保护时间(其还可被称为保护时间)。具体而言，信赖媒介116 将安全保护时间计算为由系统100中从头到尾的当前使用的所有安全 性保护措施提供的安全时间的总量。一旦信赖媒介116计算了安全保 护时间，则安全保护时间的计算的值替换以上讨论的安全保护时间的 初始化的值。

关于遍布系统100存在的当前的安全性威胁，TM代理108a-108f 传送信息到信赖媒介116。信赖媒介116使用该信息来计算对于当前的 威胁的攻击时间。攻击时间是对于检测的威胁将花费的用于规避当前 运行的保护措施的时间的量。例如，如果具体的加密算法被用作当前 的保护措施，那么攻击时间是具有平均计算能力的计算机使用暴力或 密码分析方法破解所述保护机构的预计的时间风险系数，所述保护机 构可包括加密算法、配对、和/或认证。一旦信赖媒介116计算攻击时 间，则攻击时间的计算的值替换以上讨论的攻击时间的初始化的值。

TM代理108a接收关于用户的信赖预期的来自外部终端102的用 户输入并且将该信息传送到信赖媒介116。信赖媒介116使用该信息来 对于用户122计算用户的信赖预期。用户的信赖预期代表与具体的交 易有关的用户122所需的保护的水平并且可基于用户122经由外部终 端102请求的交易的种类。例如，用户122可对于一定量的货币以上的 交易要求更高水平的安全性(因此，更长的安全保护时间)。一旦信 赖媒介116计算了用户的信赖预期，则用户的信赖预期的计算的值替 换以上讨论的用户的信赖预期的初始化的值。

TM代理108a还接收关于用户的方便预期的来自外部终端102的 用户输入并且将该信息传送到信赖媒介116。信赖媒介116使用该信息 来对于用户122计算用户的方便预期。用户的方便预期代表与保护措 施关联的用户122愿意接受的最大不便。用户的方便预期还基于用户 122经由外部终端102请求的交易的种类。例如，用户122可能不愿意 为$5的交易接受与要求用户122提交生物测定的识别处理(例如虹膜 扫描)关联的不便。一旦信赖媒介116计算了用户的方便预期，则用 户的方便预期的计算的值替换以上讨论的用户的方便预期的初始化 的值。

关于内部网络部件118和外部网络部件120的安全性威胁TM代理 108a-108f传送信息到信赖媒介116。信赖媒介116将该信息存储在存储 器(未示出)中以用于量化安全性风险和确定合适的保护措施以应对 风险。

在块204处，信赖媒介116比较安全保护时间的计算的值和攻击时 间的计算的值，以确定由当前运行的保护措施提供的安全保护时间是 否小于攻击时间。如果信赖媒介116确定安全保护时间大于或等于攻 击时间，那么系统100被认为是安全的，换言之，不存在系统100暴露 于威胁的时间段。在这种情况下，所述过程(procedure)通过使用更 新的信息连续地重复块204，如果有任何更新的信息则在块206处将所 述更新的信息从TM代理108传送到信赖媒介116。在该方式中，所述 处理是循环的并且能够连续地和动态地适应于安全性特征的变化。

然而，如果信赖媒介116确定安全保护时间小于攻击时间，那么 所述处理继续到块208。在块208处，信赖媒介116确定当前的安全保 护时间是否满足计算的用户的信赖预期和计算的用户的方便预期。该 确定包括比较计算的安全保护时间与计算的用户的信赖预期和计算 的用户的方便预期两者。如果由当前运行的保护措施提供安全保护时 间小于用户122对于交易愿意接受的最小的安全性水平(例如，对于 $10000的交易仅要求母亲的娘家的姓)，那么安全保护时间未能满足 用户预期信赖。如果与当前部署的保护措施关联的不便超过用户122 对于交易愿意接受的最大的不便(例如，对于$5的交易要求虹膜扫 描)，那么安全保护时间也未能满足用户的方便预期。如果信赖媒介 116确定保护措施满足用户的信赖预期和用户的方便预期两者，那么 所述处理进展到块210。

在块210处，用户122使用外部终端102来根据需要输入关于用户 的信赖预期、用户的方便预期和/或保护措施的信息。信赖媒介116存 储和使用该信息来基于交易特征计算对于用户122最佳地平衡用户的 信赖预期和用户的方便预期的平衡点。例如，如果存储的用户预期数 据表明用户122对于涉及$1000以上的数量的交易一般要求比$1000以 下的那些更严格的保护措施(更长的安全保护时间)，则信赖媒介116 对于$1000以上的交易使用更严格的保护措施和对于$1000以下的交 易使用较不严格的保护措施。这增加用于122对于系统100的满意度， 因为对于各个用户122将信赖和方便两者最佳化和个性化了。

在块208或块210之后，看情况，所述处理进展到块212。如果信 赖媒介116在块208处确定安全保护时间满足用户的信赖预期和用户 的方便预期，那么在块212处，信赖媒介116根据用户122在块210处输 入的信息(如何有)启用、禁用和/或修改一个或多个保护措施。

替换地，如果信赖媒介116在块208处确定安全保护时间未能满足 用户的信赖预期和/或用户的方便预期，那么在块212处，信赖媒介116 根据一个或多个信赖媒介算法启用、禁用和/或修改保护措施。

示例性的保护措施修改包括增加密钥长度、改变加密算法、改变 认证方法等等。保护措施修改帮助阻挠攻击者规避保护措施的努力。 例如，在运行时间期间改变加密键和/或加密算法增大攻击者成功地规 避加密的难度。

信赖媒介116确定是否以及/或者如何对于交易修改保护措施所 使用的一个变量是与存储在系统100中和/或遍布系统100传送的与交 易数据(电子资产)关联的风险。信赖媒介116将风险计算为具体的 交易数据的价值(大小)和具体的交易数据将被危及(compromise) 的概率的乘积。

取决于具体的交易数据的价值基础以两种方式中的一种确定具 体的交易数据的价值。如果交易数据基于存储在本地价值106中的价 值基础(例如美元、欧元等等)，那么本地价值106基于该价值基础 计算具体的交易数据的价值。本地价值106计算具体的交易数据的价 值并且将所述价值传送到信赖媒介116以供计算与具体的交易数据关 联的风险。

如果具体的交易数据基于未被存储于本地价值106中的价值基础 (例如未知的货币)，那么价值媒介104通过使用评估公式(valuation  formula)计算具体的交易数据的价值，其可由一个或多个价值转换 支持以达到类似的条件和可比较的媒介权重。价值媒介104使得信赖 媒介116能够对于非基于存储在本地价值106中的价值基础的价值评 定风险，并且使得能够跨价值基础转换价值。评估公式的输入包括具 体的交易数据的属性以及对应于各属性的加权因子。具体的交易数据 的属性的例子包括：具体的交易数据的所有者、关联的交易的时间或 场所、具体的交易数据的货币等等。

如上所述，如果用户122还没有使用系统100来完成任何交易，那 么属性的初始化的值和加权因子被用于评估公式。随着时间的过去， 当用户122使用系统100完成交易时，属性的价值和加权系数在存储器 (未示出)中被更新并且被用于评估和风险公式中。

如果属性的价值和加权值随着时间收敛，那么信赖媒介116使用 用户122的交易的属性的收敛值来评定将来交易的风险。这些收敛值 被信赖媒介116用于计算具体的交易数据将被危及的概率。例如，如 果用户122的收敛值表明用户122一般在特定的时间期间和/或在特定 的地理场所进入交易，那么信赖媒介116对于用户122在与由收敛的数 据表明的那些不同的时间和/或场所发起的任何交易增大具体的交易 数据将被危及的概率。反之，信赖媒介116对于用户122在大致由收敛 数据表明的时间和/或场所发起的任何交易减小具体的交易数据将被 危及的概率。由此，通过连续的动态的改善最小化到风险的暴露并且 最大化对于用户122的方便平衡。价值媒介104将具体的交易数据的计 算的值传送到信赖媒介116以供计算与具体的交易数据关联的风险。

如上所述，信赖媒介116通过使用各种数据收集技术(例如基于 群的收集、基于事件的收集、和/或基于采样速率的收集等等)收集来 自TM代理108a-108f的数据。信赖媒介116还可以周期性地向TM代理 108a-108f轮询关于TM代理108a-108f检测威胁所需的时间(检测时 间)的信息。信赖媒介116还记住系统100通过实现调整的保护措施来 对以前检测的威胁作出反应所花费的时间(反应时间)。如果信赖媒 介116确定安全保护时间小于检测时间和反应时间的乘积，那么信赖 媒介116增大它轮询TM代理108a-108f的速率，以减少检测时间。

从块212，所述处理进展到块214。在块214处，信赖媒介116确定 在块212处确定的对保护措施的修改是否满足攻击时间、用户的信赖 预期以及用户的方便预期。如果信赖媒介116确定保护措施未能满足 攻击时间、用户的信赖预期和/或用户的方便预期，那么所述处理根据 需要重复块212以进一步修改保护措施。如果信赖媒介116确定保护措 施满足攻击时间、用户的信赖预期和用户的方便预期，那么所述处理 进展到块216。

在块216处，信赖媒介116传送保护措施修改到TM代理108a-108f 中的一个或多个。例如，信赖媒介116传送关于安全性服务的保护措 施的改变到安全服务模块114以实现新的安全性服务和保护措施(例 如不同的加密/解密算法)。在这种情况下，保护措施修改被发给至少 两个网络部件，即，执行数据的加密的部件和执行数据的解密的部件。 在一个实施例中，安全服务模块114基于Diameter协议和/或其他的认 证、授权和帐户(AAA)协议实现安全性应用。

从块216，所述处理重复块204，其中在块206处从TM代理108传 送新的信息(如果存在任何新的信息)。在该方式中，所述处理是循 环的，由此能够连续地和动态地适应于安全性状况的改变(当它们随 着时间和/或外部终端102的特定的场所出现时)。用户122由此可在体 验对于用户122即有效又便利的适应性的安全性水平的同时通过使用 系统100来使用他们的外部终端102来完成金融交易。此外，在维持对 于用户122有效且不过于累赘的适应性安全性水平的同时，发行者可 使得消费者能够在各种地理场所通过他们的移动电话使用他们的金 融交易帐户来完成交易。

可通过使用硬件、软件或它们的组合实现本发明(例如系统100、 处理200或它们的任何部分或功能)，并且可以一个或多个计算机系 统或其他的处理系统实现本发明。然而，本发明执行的操作在术语上 经常被称作通常与人操作员执行的手动(mental)操作关联的例如添 加或比较。在构成本发明的部分的在此描述的操作中的任何操作中， 人操作员的这样的能力不是必须的，或者在大部分情况下不是所期望 的。而是，所述操作是机器操作。可用于执行本发明的操作的机器包 括通用数字计算机或类似设备。

事实上，在一个实施例中，本发明针对能够执行在此描述的功能 的一个或多个计算机系统。计算机系统300的例子在图3中示出。

计算机系统300包括一个或多个处理器，例如处理器304。处理器 304连接到通讯基础设施306(例如通信总线、转换接头棒或网络)。 通过该示例性的计算机系统描述了各种软件实施例。在阅读本说明之 后，本领域普通技术人员将清楚如何通过使用其他的计算机系统和/ 或体系结构实现本发明。

计算机系统300可包括显示界面302，界面302转发来自通讯基础 设施306(或来自未示出的帧缓冲区)的图形、文本和其他数据以供 在显示设备330上显示。

计算机系统300还包括主存储器308(优选随机存取存储器 (RAM)，并且还可包括辅助存储器310。辅助存储器310可包括例如 硬盘驱动器312和/或可移动存储器驱动器314(表示软盘驱动器、磁带 驱动器、光盘驱动器等等)。可移动存储器驱动器314按公知的方式 从可移动存储器单元318读取和/或向可移动存储器单元318写入。可移 动存储器单元318表示软盘、磁带、光盘等等，其被可移动存储器驱 动器314读取和写入。如将认识到的那样，可移动存储器单元318包括 计算机可用的存储介质，其中存储有计算机软件和/或数据。

在替代性的实施例中辅助存储器310可包括其他的类似设备以允 许计算机程序或其他的指令被加载计算机系统300。这样的设备可包 括例如可移动存储器单元322和接口320。这样的例子可包括程序盒式 磁带和盒式接口(例如电视游戏设备中发现的程序盒式磁带和盒式接 口)、可移动的存储器芯片(例如可擦可编程序只读存储器 (EPROM))、或可编程只读存储器(PROM)与关联的套接字 (socket)、以及允许软件和数据被从可移动存储器单元322传递到计 算机系统300的其他的可移动存储器单元322和接口320。

计算机系统300还可以包括通信接口324。通信接口324允许软件 与数据在计算机系统300与外部设备之间被传递。通信接口324的例子 可包括调制解调器、网络接口(例如以太网卡)、通信端口、个人计 算机存储器卡国际联合会(PCMCIA)槽与卡等等。经由通信接口324 传递的软件与数据为信号328的形式，信号328可以是能够通过通信接 口324接收的电信号、电磁信号、光信号或其他的信号。这些信号328 经由通信路径(例如信道)326被提供到通信接口324。该信道326携 带信号328并且可通过使用电线或电缆、光纤、电话线、蜂窝链路、 无线电频率(RF)链路与其他的通信信道来实现。

在本文档中，术语“计算机程序介质”、“计算机可读介质”和 “计算机可用的介质”用于泛指例如可移动存储器驱动器314、安装 在硬盘驱动器312中的硬盘、和/或信号328的介质。这些计算机程序产 品向计算机系统300提供软件。发明针对这样的计算机程序产品。

计算机程序(也称作计算机控制逻辑)被存储在主存储器308和/ 或辅助存储器310中。还可以经由通信接口324接收计算机程序。这样 的计算机程序在被执行时使得计算机系统300能够执行在本文中讨论 的本发明的特征。具体而言，计算机程序在被执行时使得处理器304 能够执行本发明的特征。因此，这样的计算机程序表示计算机系统300 的控制器。

在使用软件实现本发明的实施例中，所述软件可被存储在计算机 程序产品中并且通过使用可移动存储器驱动器314、硬盘312或通信接 口324被加载计算机系统300中。控制逻辑(软件)在被处理器304执 行时使得处理器304执行在本文中描述的本发明的功能。

在另一个实施例中，通过使用例如硬件部件(例如专用集成电路 (ASIC)主要以硬件实现本发明。实现硬件状态机以执行在本文中描 述的功能对于本领域普通技术人员而言将是清楚的。

在再另一个实施例中，通过使用硬件和软件两者的结合实现本发 明。

虽然以上已经描述了本发明的各种实施例，但是应对理解：它们 是以示例的方式而非限制性的方式被给出的。对本领域普通技术人员 将清楚：可在其中进行形式和细节的各种改变而不脱离本发明的精神 和范围。由此，本发明不应被限于以上描述的示例性的实施例中的任 何实施例，而仅应根据所附的权利要求以及它们的等同物来定义。

另外，应清楚：突出本发明的功能和优点的在附件中示出的图形 仅仅为了示例的目的被呈现。本发明的体系结构是足够灵活的和可配 置的，使得它能够以附图所示的方式之外的方式被使用(和操纵)。

此外，前述摘要的目的在于使得美国专利和商标局以及不熟悉专 利或法律术语或措辞的一般公众特别是本领域的科学家、工程师和从 业者从粗略的查看快速地确定本申请的技术公开的本质和精华。摘要 不意欲用于以任何方式限制本发明的范围。还应理解：在权利要求中 叙述的步骤和处理不必按权利要求中呈现的顺序被执行。